第八章代理服務(wù)器的配置與管理第八章代理服務(wù)器的配置與管理2025/1/27代理服務(wù)器的配置與管理第八章第八章代理服務(wù)器的配置與管理22025/1/27代理服務(wù)器的配置與管理目標配置squid為局域網(wǎng)用戶代理上網(wǎng)使用PHProxy搭建WEB在線代理平臺第八章代理服務(wù)器的配置與管理32025/1/27對于代理服務(wù)器，廣大的用戶一定不會陌生。因為我們經(jīng)常都會使用代理。比如想在youtube上面看視頻，想訪問fackbook等都需要代理服務(wù)器。因為這些網(wǎng)站我們不能直接訪問。上面的例子說明最終用戶買產(chǎn)品是從經(jīng)銷商處夠買，而經(jīng)銷商從廠家進貨，經(jīng)銷商在這里充當一個代理。為什么用戶不直接從產(chǎn)品買呢？到不了產(chǎn)品廠商路程太遠...1.1、代理服務(wù)介紹第八章代理服務(wù)器的配置與管理42025/1/271.1、代理服務(wù)介紹代理服務(wù)器和上面的例子幾乎一樣，下面是一些代列服務(wù)器的作用共享網(wǎng)絡(luò)：使用一個共網(wǎng)IP就可以滿足局域網(wǎng)絡(luò)用戶上網(wǎng)的需求訪問代理：翻墻。另外，直接讀取服務(wù)器上已有的信息，還可以大大加快訪問速度、節(jié)約網(wǎng)絡(luò)帶寬防止攻擊：一般的外部掃描、刺探等在到達代理服務(wù)器就停止了。這就很好的保護內(nèi)網(wǎng)用戶的真實信息。...第八章代理服務(wù)器的配置與管理52025/1/271.1、代理服務(wù)介紹代理服務(wù)器工作原理第八章代理服務(wù)器的配置與管理62025/1/271.1、代理服務(wù)介紹啟動代理服務(wù)器，此時代理服務(wù)器的主進程將監(jiān)聽某個綁定的端口并初始化緩存客戶端A向代理服務(wù)器發(fā)關(guān)訪問請求代理服務(wù)器在收到請求后創(chuàng)建一個子進程以應(yīng)對該請求代理服務(wù)器與客戶端A建立連接，然后解析客戶端發(fā)出的請求并按照預設(shè)的訪問規(guī)則難證該請求子進程開始查詢緩存，根據(jù)查詢結(jié)果進行不同的處理目標Web服務(wù)器內(nèi)代理服務(wù)器子進程發(fā)來的請求，同時代理服務(wù)器子進程依據(jù)具體的緩存更新算法更新代理服務(wù)器緩存代理服務(wù)器子進程將目標Web服務(wù)器回應(yīng)轉(zhuǎn)送給客戶端A第八章代理服務(wù)器的配置與管理72025/1/271.1、代理服務(wù)介紹代理服務(wù)器分為三類正向代理：接收局域網(wǎng)中用戶的請求，接收互聯(lián)網(wǎng)上的數(shù)據(jù)反向代理：和正向代理相反透明代理：用戶不需要設(shè)置代理第八章代理服務(wù)器的配置與管理82025/1/271.1、代理服務(wù)介紹常用的代理服務(wù)器軟件有以下幾種：squidsygatewingateccproxy本次課主要講解在Linux使用squid來搭建代理服務(wù)器squid是一款優(yōu)秀的代理服務(wù)器軟件，被廣泛應(yīng)用于Linux和UNIX系統(tǒng)第八章代理服務(wù)器的配置與管理92025/1/271.1、代理服務(wù)介紹第八章代理服務(wù)器的配置與管理102025/1/271.1、代理服務(wù)介紹squid安裝配置步驟第八章代理服務(wù)器的配置與管理112025/1/271.2、squid安裝使用YUM安裝以下軟件包[root@localhost~]#yum-yinstallsquid第八章代理服務(wù)器的配置與管理122025/1/271.3、squid配置squid的服務(wù)名稱為squid。主要文件/etc/squid/squid.conf\\主要配置文件監(jiān)聽端口和IP地址設(shè)置http_port3128或http_port54:3128代理服務(wù)器的一個很重要的功能是緩沖和儲存數(shù)據(jù)。在Squid服務(wù)器中，主要使用cache_mem、cache_dir、cache_swap_low和cache_swap_high這4個參數(shù)來設(shè)置緩沖容量的大小。cache_mem用于設(shè)定額外提供多少內(nèi)存容量供squid使用。cache_dir用于設(shè)置緩存文件的存儲方式和在硬盤中的存儲位置第八章代理服務(wù)器的配置與管理132025/1/271.3、squid配置cache_dirschemedirectorysizeL1L2[options]scheme：用于設(shè)置squid的存儲機制，默認為ufsdirectory：緩存文件存放的位置size：指定cache目錄的大小L1和L2對于ufs、aufs和diskd機制。options：squid提供了兩個不同存儲機制的cache_dir選項，分別是read-only標簽和max-sizeread-only選項用于指示squid繼續(xù)從cache_dir中讀取文件，但不往里面寫新目標max-size值用于指定存儲在cache的最大目標的容量大小cache_swap_low和cache_swap_highcache_swap_low和cache_swap_high指令控制了對象占用最大cache體積的百分比。cache_swap_low是一個下限值，當在這個值以下時，squid不會刪除cache目標。如果cache體積增加，squid會逐漸刪除目標。在穩(wěn)定情況下，你會發(fā)現(xiàn)磁盤使用總是相對接近cache_swap_low值。cache_swap_high在現(xiàn)在的版本中沒有多大用處第八章代理服務(wù)器的配置與管理142025/1/271.3、squid配置訪問控制在默認情況下，squid會拒絕所有客戶的請求。在使用之前需要在squid.conf文件里加入附加的訪問控制規(guī)則，也就是定義一個針對客戶端IP地址的訪問控制列表和一系列訪問規(guī)則，告訴服務(wù)器自哪些IP地址的HTTP請求。ACL參數(shù)宣言的語法格式如下：acl列表名稱列表類型列表值1列表值2如定義一個叫LAN和ACL，匹配源地址為/24這個網(wǎng)段aclLANsrc/24定義了ACL之后還需要放到相應(yīng)的訪問規(guī)則才會生效通常我們會使用http_access來設(shè)置，格式如下：http_accessallow|deny列表名稱1列表名稱2第八章代理服務(wù)器的配置與管理152025/1/271.4、squid配置實例在這臺主機上安裝squid。并配置只監(jiān)聽54這個IP上的3128和8080兩個端口。周一到周五上午9點到下午18點，不允許機器訪問以net結(jié)尾的域名，不能下載.mp3結(jié)尾的文件。并只允許通過代理服務(wù)器的3128端口訪問外網(wǎng)。只能訪問http服務(wù)，訪問的路徑中不能有h關(guān)鍵字。并只允許通過代理服務(wù)器的8080端口訪問外網(wǎng)。第八章代理服務(wù)器的配置與管理162025/1/271.4、squid配置實例http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95aclclient1-ipsrc33aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/第八章代理服務(wù)器的配置與管理172025/1/271.4、squid配置實例http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport8080aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-ihhttp_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowclient2-ipclient2-myport第八章代理服務(wù)器的配置與管理182025/1/271.4、squid配置實例dns_nameservers7cache_mgrhuyangyang50201@163.comaccess_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid[root@localhost~]#/usr/sbin/squid-z[root@localhost~]#servicesquidstart[root@localhost~]#chkconfigsquidon配置修改后可以使用以下命令重新加載配置[root@localhost~]#servicesquidreload第八章代理服務(wù)器的配置與管理192025/1/271.4、squid配置實例第八章代理服務(wù)器的配置與管理202025/1/271.4、squid配置實例第八章代理服務(wù)器的配置與管理212025/1/271.4、squid配置實例第八章代理服務(wù)器的配置與管理222025/1/271.5、ACL匹配規(guī)則ACL元素的匹配規(guī)則當ACL元素有多個值時，任何單個值能導致匹配。換句話說，squid在檢查ACL元素值時使用OR邏輯。當squid找到第一個值匹配時，它停止搜索。這意味著把最可能匹配的值放在列表開頭處，能減少延時。訪問規(guī)則的匹配規(guī)則訪問規(guī)則和ACL元素匹配恰好相反。對http_acceess訪問規(guī)則設(shè)置，squid使用“與”邏輯。規(guī)則中任何一個不匹配請求，squid停止搜索該規(guī)則，并繼續(xù)下一條。對某個規(guī)則來說，將最少匹配的ACL放在首位，能使效率最佳。ACL列表的匹配規(guī)則對某個ACL值的匹配算法是，squid在訪問列表里找到匹配規(guī)則時，搜索終止。假如沒有訪問規(guī)則導致匹配，默認動作是列表里最后一條規(guī)則的取反。第八章代理服務(wù)器的配置與管理232025/1/271.6、使用LDAP為Squid提供身份驗證http_port20:3128http_port20:8080cache_mem128MBcache_dirufs/var/spool/squid100016256cache_swap_low90cache_swap_high95auth_parambasicprogram/usr/lib/squid/squid_ldap_auth-b"dc=wolk-tech,dc=com"-h20-f"uid=%s"aclauthuserproxy_authREQUIREDaclclient1-ipsrc33第八章代理服務(wù)器的配置與管理242025/1/271.6、使用LDAP為Squid提供身份驗證aclclient1-myportmyport3128aclclient1-domaindstdom_regex-inet$aclclient1-downloadurl_regex-i\.mp3$aclclient1-timetimeD09:00-18:00aclallsrc/http_accessdenyclient1-domainclient1-timeclient1-iphttp_accessdenyclient1-ipclient1-downloadhttp_accessallowauthuserclient1-iphttp_accessallowclient1-ipclient1-myportaclclient2-ipsrc34aclclient2-myportmyport8080第八章代理服務(wù)器的配置與管理252025/1/271.6、使用LDAP為Squid提供身份驗證aclclient2-protocolprotoHTTPaclclient2-URLPATHurlpath_regex-i^/h/$http_accessdenyclient2-URLPATHclient2-iphttp_accessdeny!client2-protocolclient2-iphttp_accessallowauthuserclient2-iphttp_accessallowclient2-ipclient2-myportdns_nameservers7cache_mgrhuyangyang50201@163.comvisible_hostname20access_log/var/log/squid/access.logcache_effective_usersquidcache_effective_groupsquid第八章代理服務(wù)器的配置與管理262025/1/271.6、使用LDAP